ちょうど1ヶ月前ですが、「個人情報の保護に関する法律等の一部を改正する法律案」が成立しました。ブログを書きたいなと思いつつ、放っておいたところ多くの優秀な先生方に先を越されてしまいました。*1
先生方の焼き直しではあまり意味もないと思うので、ちょっと自分なりの問題意識も入れて整理してみようと思います。
1.問題意識
(1)ミーティングでの会話
先週副業のインハウスハブの方で、某大手企業の法務部の方からプライバシー関連業務の体制構築について相談を受けました。そこでの議論を雑に要約すると以下のような感じです。
- 経営層に痛みを伴う経験がないと普段は対応を進めにくい(金も人も付かない)
- 法律制定や法改正はプライバシー施策を押し進めるチャンスである(e.g. GDPR)
- 今回の個人情報保護法改正を機に、きちんとプライバシー管理体制を構築したい
また、その方とは(このブログでも連載的に書いている)NIST Privacy Framework導入の話でも盛り上がったのですが、これは完全にプライバシー担当者側の言語・整理なんですよね。プライバシー担当者間では盛り上がれるが、実際に導入しようとなった時に経営側・事業側とNIST Privacy Frameworkでは会話ができない。
(2)至った問題意識
プライバシー関連業務について、経営側・事業側に全体感を示せるようなもの(フレーム)が必要なんだろうなと考えるに至りました。当該フレームに今回の改正個人情報保護法におけるトピックを当てはめた上で一定の対応を行い、自社としては積み増してここまで対応したいと説明できると良いのかなと。
2.改正個人情報保護法のトピック
今回の改正個人情報保護法のトピックは以下のような感じです。もっとも、こうやってただ羅列しても体系的に理解するのは難しいですよね。
- 利用停止・消去請求権
- 開示請求権(開示方法)
- 開示請求権(第三者提供記録)
- 開示請求権(短期保存データ)
- 第三者提供の制限
- 漏洩報告
- 不適正利用の禁止
- 認定個人情報保護団体
- 仮名加工情報
- 個人関連情報
- 法定刑
- 域外適用
- 越境移転
3.プライバシー関連業務のフレーム
そこで、プライバシー関連業務のフレームを作ってみました。以下は私が考えたものですが、日頃の業務を抽象化すると大体こんな感じかな…とも思っています。皆さんにとって納得感が高いものになっていると良いのですが。*2
・対内
・本番環境
・①新規案件の立ち上げ
・②継続案件の管理
・分析環境
・③分析データの管理
・対外
・④ユーザー
・⑤当局
・⑥取引先
4.マッピング
上記のフレームに、今回の改正個人情報保護法のトピックをマッピングしてみると以下のようになります。
・対内
・本番環境
・①新規案件の立ち上げ
・不適正利用の禁止
・②継続案件の管理
・不適正利用の禁止
・分析環境
・③分析データの管理
・仮名加工情報
・対外
・④ユーザー
・利用停止・消去請求権
・開示請求権(開示方法)
・開示請求権(第三者提供記録)
・開示請求権(短期保存データ)
・漏洩報告
・越境移転
・⑤当局
・漏洩報告
・認定保護団体
・法定刑
・域外適用
・⑥取引先
・第三者提供の制限
・不適正利用の禁止
・個人関連情報
・越境移転
分類してみて感じたのは以下の3つです。
- 本番環境の影響はそこまで大きくなさそう*3
- 分析環境の仮名加工情報は、ガイドライン含め議論の成熟待ち
- 対外対応は、ユーザー/当局/取引先それぞれ論点山盛りで個別に対応必須
---------------------------
以上です。
今後は①〜⑥の各トピックについて順番に詳述していきます。近々勤務先でも改正個人情報保護法対応について事業側の皆さんに講義をする予定です。パワポも作るので、上手く無害化できたら資料こちらでも公開しようと思います。
【目次(随時更新予定)】
・対内
・本番環境
・①新規案件の立ち上げ
・②継続案件の管理
・分析環境
・③分析データの管理
・対外
・④ユーザー
・⑤当局
・⑥他社